網(wǎng)絡(luò)運(yùn)維|防火墻的源NAT

2020-05-31 19:43 作者：admin 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，今天就和大家聊一聊防火墻的源NAT。簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

源NAT

源NAT介紹如何配置源NAT功能和NAT地址池。

源NAT

通過配置源NAT功能，可以實(shí)現(xiàn)將IP報(bào)文中的源IP地址由私網(wǎng)IP地址轉(zhuǎn)換為合法的公網(wǎng)IP地址。

新建源NAT

基本NAT功能是指將IP報(bào)文中的源IP地址由私網(wǎng)IP地址轉(zhuǎn)換為合法的公網(wǎng)IP地址，但不轉(zhuǎn)換TCP/UDP協(xié)議的源端口號(hào)。基本NAT也可稱為“一對(duì)一的地址轉(zhuǎn)換”，即一個(gè)私網(wǎng)地址對(duì)應(yīng)一個(gè)公網(wǎng)地址，一個(gè)公網(wǎng)地址不能同時(shí)被多個(gè)私網(wǎng)用戶使用。
NAPT（Network Address and Port Translation）功能是指轉(zhuǎn)換報(bào)文中的源IP地址的同時(shí)也轉(zhuǎn)換TCP/UDP協(xié)議的源端口號(hào)，通過源端口號(hào)來區(qū)分不同的私網(wǎng)IP地址。NAPT屬于“多對(duì)一的地址轉(zhuǎn)換”，一個(gè)公網(wǎng)地址可以同時(shí)被多個(gè)私網(wǎng)用戶使用，實(shí)現(xiàn)了公網(wǎng)地址的復(fù)用，解決了公網(wǎng)地址短缺的問題，是一種廣泛使用的地址轉(zhuǎn)換方式。
Easy IP功能也屬于“多對(duì)一的地址轉(zhuǎn)換”，與NAPT不同的是，Easy IP無需配置NAT地址池，直接使用設(shè)備接口的公網(wǎng)IP地址替換報(bào)文的源IP地址。Easy IP主要適用于私網(wǎng)內(nèi)主機(jī)較少、連接Internet的出接口通過撥號(hào)方式或DHCP方式動(dòng)態(tài)獲得公網(wǎng)IP地址的小型網(wǎng)絡(luò)環(huán)境。私網(wǎng)用戶都通過出接口的公網(wǎng)IP地址來訪問Internet，簡(jiǎn)化了配置過程，節(jié)約了購(gòu)買公網(wǎng)地址的花費(fèi)，降低了構(gòu)建網(wǎng)絡(luò)的成本。
與基本NAT和NAPT類似，域內(nèi)NAT轉(zhuǎn)換報(bào)文的源信息，可以只轉(zhuǎn)換報(bào)文中的源IP地址，也可以同時(shí)轉(zhuǎn)換報(bào)文中的源IP地址和源端口。但域內(nèi)NAT只對(duì)在安全區(qū)域內(nèi)流動(dòng)的報(bào)文起作用。
通過新建源NAT，可以實(shí)現(xiàn)以上各種NAT功能。如果一個(gè)域間配置了多條源NAT，則按照源NAT的優(yōu)先級(jí)按順序進(jìn)行匹配。只要匹配到一條源NAT就不再繼續(xù)匹配剩下的源NAT。缺省情況下，越先配置的源NAT優(yōu)先級(jí)越高，但是也可以通過命令手工調(diào)整源NAT之間的優(yōu)先級(jí)。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊“新建”。
3. 依次輸入或選擇各項(xiàng)參數(shù)，如表7-15所示。
4. 單擊“應(yīng)用”。
界面中顯示新建的源NAT，則表明操作成功。
表  新建源NAT參數(shù)說明

參數(shù)	說明	取值建議
源安全區(qū)域	源安全區(qū)域通常為轉(zhuǎn)換前的私網(wǎng)IP地址所在的安全區(qū)域。	如果配置域內(nèi)NAT，請(qǐng)將源、目的安全區(qū)域配成一致。
目的安全區(qū)域	目的安全區(qū)域通常為轉(zhuǎn)換后的公網(wǎng)IP地址所在的安全區(qū)域。	-
源地址	源NAT的源IP地址。	源地址通常為轉(zhuǎn)換前的私網(wǎng)IP地址。不填寫時(shí)使用默認(rèn)值any，表示匹配源安全區(qū)域內(nèi)的任意IP地址。
目的地址	源NAT的目的IP地址。	不填寫時(shí)使用默認(rèn)值any，表示對(duì)目的IP地址不做限制。
服務(wù)	源NAT引用的服務(wù)或服務(wù)組。	-
動(dòng)作	配置是否對(duì)匹配源NAT的報(bào)文進(jìn)行源地址轉(zhuǎn)換。	· NAT轉(zhuǎn)換：表示對(duì)匹配源NAT的數(shù)據(jù)報(bào)文進(jìn)行源地址轉(zhuǎn)換。 · 不做NAT轉(zhuǎn)換：表示對(duì)匹配源NAT的數(shù)據(jù)報(bào)文不進(jìn)行源地址轉(zhuǎn)換。
描述	對(duì)源NAT的描述信息。	-
將源地址轉(zhuǎn)換為	選擇將源地址轉(zhuǎn)換為地址池中的地址或接口IP地址。	· 地址池中的地址：私網(wǎng)IP地址轉(zhuǎn)換為NAT地址池中的公網(wǎng)IP地址。 · 接口IP地址：私網(wǎng)IP地址轉(zhuǎn)換為“接口”的IP地址。
地址池	新建或選擇NAT地址池。當(dāng)“將源地址轉(zhuǎn)換為”選擇“地址池中的地址”時(shí)，界面顯示此配置項(xiàng)。	-
允許端口地址轉(zhuǎn)換	允許端口地址轉(zhuǎn)換可以使多個(gè)私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址。 當(dāng)“將源地址轉(zhuǎn)換為”選擇“地址池中的地址”時(shí)，界面顯示此配置項(xiàng)。	-
接口	接口必須為加入目的安全區(qū)域的接口，且配置了公網(wǎng)IP地址。 當(dāng)“將源地址轉(zhuǎn)換為”選擇“接口IP地址”時(shí)，界面顯示此配置項(xiàng)。	-

啟用源NAT

新建源NAT后，處于啟用狀態(tài)。關(guān)閉源NAT后，該源NAT將不起作用。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，選中需要啟用的源NAT所在行的“啟用”復(fù)選框。
取消選中“啟用”復(fù)選框，禁用該源NAT。

復(fù)制源NAT

復(fù)制源NAT時(shí)，用戶可以對(duì)原有的源NAT進(jìn)行微調(diào)，從而形成新的源NAT。新的源NAT編號(hào)在現(xiàn)有源NAT最大編號(hào)的基礎(chǔ)上遞增。
當(dāng)需要配置多條相似的源NAT時(shí)，可以反復(fù)執(zhí)行以下操作。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊需要復(fù)制的源NAT所在行的。
3. 重新輸入或選擇各項(xiàng)參數(shù)，如表7-15所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。
4. 單擊“應(yīng)用”。

移動(dòng)源NAT

移動(dòng)源NAT可以在安全區(qū)域間調(diào)整源NAT的位置，從而改變?cè)碞AT的匹配順序。位置越高的源NAT優(yōu)先級(jí)越高，越優(yōu)先進(jìn)行匹配。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊需要移動(dòng)的源NAT所在行的。
3. 依次輸入或選擇各項(xiàng)參數(shù)，如表7-16所示。
4. 單擊“確定”。
源NAT移動(dòng)到相應(yīng)位置，則表明操作成功。
表7-16  移動(dòng)源NAT參數(shù)說明

參數(shù)	說明	取值建議
目標(biāo)ID	當(dāng)前源NAT會(huì)移動(dòng)到“目標(biāo)ID”的源NAT的上方或下方。	-
位置	· 之前：將當(dāng)前源NAT移動(dòng)到“目標(biāo)ID”的源NAT的上方。 · 之后：將當(dāng)前源NAT移動(dòng)到“目標(biāo)ID”的源NAT的下方。	-

插入源NAT

1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊已創(chuàng)建源NAT所在行的，為當(dāng)前源NAT對(duì)應(yīng)的安全域間增加一條源NAT，新增源NAT插入到當(dāng)前源NAT之前。
3. 重新輸入或選擇各項(xiàng)參數(shù)，如表7-15所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。
4. 單擊“應(yīng)用”。

查詢?cè)碞AT

1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 使用以下兩種方式的一種來查詢?cè)碞AT：
· 普通查詢
在“源NAT策略列表”表頭的下拉框中選擇安全區(qū)域，單擊“查詢”。
· 高級(jí)查詢
a. 在“源NAT策略列表”表頭的下拉框中選擇安全區(qū)域，單擊“高級(jí)查詢”。
b. 輸入查詢條件，如表7-15所示。
c. 單擊“確定”。
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理